با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

سایت دروپالی خود را به‌روز کنید! دومین آسیب‌پذیری حیاتی دروپال در ماه

خلاصه: کارشناسان امنیتی دروپال اعلام نموده‌اند که یک آسیپب‌پذیری حیاتی روی هسته دروپال وجود دارد که می‌تواند منجر به حمله XSS روی آن شود. این آسیب‌پذیری که روی افزونه CKEditor که به صورت پیش‌فرض روی دروپال قرار دارد وجود دارد اجازه اجرای حملات XSS و اجرای کد مخرب روی سیستم کاربران را می‌دهد. از این رو توصیه شده هرچه زودتر هسته دروپال خود را به‌روز نمایید.

 

برای دومین بار در این ماه یک آسیب‌پذیری حیاتی روی سیستم مدیریت محتوای محبوب دروپال کشف شده و کارشناسان توصیه نموده‌اند که برای جلوگیری از سو استفاده از این آسیب‌پذیری، کاربرانی که از این سیستم مدیریت محتوا استفاده می‌نمایند، هسته دروپال خود را به روز نمایند.

این آسیب‌پذیری که توسط تیم امنیتی دروپال کشف شده است، به مهاجمان از راه دور امکان اجرای حملات پیشرفته‌ای همچون سرقت کوکی، ضبط کلید‌های فشرده شده، فیشینگ و سرقت هویت را انجام دهند.

هسته دروپال نسبت به یک حمله XSS آسیب‌پذیر است. این آسیب‌پذیری در افزونه پیش‌فرض CKEditor قرار دارد. این پلاگین که به صورت پیش‌فرض روی دروپال نصب است به مدیران و کاربران وب‌سایت برای ایجاد محتوای تعاملی کمک می‌نماید. این ویرایشگر محبوب مبتنی بر جاوا اسکریپت در بسیاری از سایت‌ها مورد استفاده قرار می‌گیرد.

بر اساس توصیه امنیتی که سایت این افزونه  منتشر نموده است بیان شده که آسیب‌پذیری XSS‌ در اعتبارسنجی نامناسب برچسب img در نسخه‌های 4.5.11 به بعد این افزونه وجود دارد. این مساله موجب می‌شود مهاجم با اجرای کد Html و جاوا اسکریپت مخرب روی مرورگر قربانی، به اطلاعات حساس کاربر دسترسی یابد.

این آسیب‌پذیری CKEditor‌ با انتشار نسخه 4.9.2 وصله شده است. همچنین با به‌روز‌رسانی هسته دروپال به نسخه‌های 8.5.2 و 8.4.7 این آسیب‌پذیری برطرف می‌شود.

البته از آنجایی که افزونه CKeditor‌ در نسخه 7.x برای استفاده در سرور‌های CDN طراحی شده‌اند، تحت تاثیر این آسیب‌پذیری قرار نمی‌گیرند.

دروپال در ماه گذشته یک آسیب‌پذیری حیاتی دیگر را نیز وصله نمود که نسخه‌های دروپال 6 تا 8 را تحت تاثیر قرار می‌داد که برای استخراج رمزارز توسط سیستم کاربران مورد استفاده قرار گرفت.

اگر در ماه گذشته سیستم مدیریت محتوای دروپال خود را به‌روز‌‌رسانی ننموده‌اید، حتما این کار را هرچه زودتر انجام دهید تا از خطر لااقل دو آسیب‌‌پذیری حیاتی در امان باشید.